Op deze website gebruiken we cookies om content en advertenties te personaliseren, om functies voor social media te bieden en om ons websiteverkeer te analyseren. Ook delen we informatie over uw gebruik van onze site met onze partners voor social media, adverteren en analyse. Deze partners kunnen deze gegevens combineren met andere informatie die u aan ze heeft verstrekt of die ze hebben verzameld op basis van uw gebruik van hun services. Meer informatie.

Akkoord

Vraag & Antwoord

Servers

Vreemde mensen op mijn PC?

Anoniem
MAXimum
8 antwoorden
  • In de logboeken van mijn Apache server komt het volgende nog wel eens voor:

    [code:1:d32463b928]
    80.56.100.37 - - [27/Jan/2004:20:06:20 +0100] "GET /scripts
    oot.exe?/c+dir HTTP/1.0" 404 294
    80.56.100.37 - - [27/Jan/2004:20:06:27 +0100] "GET /MSADC
    oot.exe?/c+dir HTTP/1.0" 404 292
    80.56.100.37 - - [27/Jan/2004:20:06:40 +0100] "GET /c/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 302
    80.56.100.37 - - [27/Jan/2004:20:06:48 +0100] "GET /d/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 302
    80.56.100.37 - - [27/Jan/2004:20:06:55 +0100] "GET /scripts/..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 316
    80.56.100.37 - - [27/Jan/2004:20:07:02 +0100] "GET /_vti_bin/..%255c../..%255c../..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 333
    80.56.100.37 - - [27/Jan/2004:20:07:08 +0100] "GET /_mem_bin/..%255c../..%255c../..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 333
    80.56.100.37 - - [27/Jan/2004:20:07:15 +0100] "GET /msadc/..%255c../..%255c../..%255c/..%c1%1c../..%c1%1c../..%c1%1c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 349
    80.56.100.37 - - [27/Jan/2004:20:07:23 +0100] "GET /scripts/..%c1%1c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 315
    80.56.100.37 - - [27/Jan/2004:20:07:36 +0100] "GET /scripts/..%c0%2f../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 315
    80.56.100.37 - - [27/Jan/2004:20:07:43 +0100] "GET /scripts/..%c0%af../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 315
    80.56.100.37 - - [27/Jan/2004:20:07:49 +0100] "GET /scripts/..%c1%9c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 315
    80.56.100.37 - - [27/Jan/2004:20:07:56 +0100] "GET /scripts/..%%35%63../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 400 306[/code:1:d32463b928]

    Wie is in godsnaam 80.56.100.37 en hoe kan ie in een scripts directory komen en mijn Winnt/system32/cmdr.exe aanroepen? :-?

  • Ik had laatst hetzelfde met Apache. Na wat onderzoek bleek dus dat het een aanval van een virus was. Dat virus verspreidde zich via (slecht beveiligde) IIS servers dus met Apache zit je safe :)
  • Maar hoe komt die PC van diegene dan aan mijn IP adres? Het laatste wat ik zal doen is mijn IP adres openbaar het internet opgooien…. :roll:
  • De meeste van dit soort virussen hebben een random IP-adress generator. Die bedenken dus zelf een range IP-adressen en als op een van die IP-adressen op poort 80 een response gegeven wordt probeert ie het een en ander uit.
  • Aha, dat klinkt logisch eigenlijk ja. Dus ik heb niks te vrezen? Ik heb een hardwarematige router met firewall, dan een software firewall (Zone Alarm) en Norton Antivirus 2003.
  • Hoeft niet eens een virus te zijn. Zijn gewoon standaard scriptjes die elke scriptkiddie (ik hoop nu niemand op gedachten te brengen) kan downloaden en op een ip-range kan loslaten. Als ergens een webserver op poort 80 wordt ontdekt, dan gaat ie op zoek naar alle bekende zwaktes (vooral van IIS). Als er een gevonden is: bingo! vanaf dat moment kan je machine voor vanalles gebruikt worden (zo hadden er eens 2 uur nadat ik een machine online had gebracht -en ik nog aan het patchen was- een paar ettertjes een FTP server met cracks op mijn pc gekopieerd… viel alleen op toen ik mijn up- en download snelheid zag dalen. Denk alleen niet dat zonealarm en je router je beschermen: als jij poort 80 openzet, en niet je webserver regelmatig van de laatste security updates en beschermingen voorziet… ben je alsnog de bok.
  • haha lol ik denk dat jullie dit eens moeten lezen: http://www.moenen.org/lessen.php?idnr=27

    oud hoor ;) =) :D

    [quote:e64619dc11="Cmdr Chakotay"]
    Wie is in godsnaam 80.56.100.37 [/quote:e64619dc11]
    haha ja dat is gewoon iemand die wel ffkes wil kijken in je pc..
    maar iig.. moeje ff hier naartoe gaan:
    http://www.visualroute.nedcomp.nl/
    [size=9:e64619dc11]altijd handig, zown visualroute-server =D ghehe[/size:e64619dc11]
    anyway, dan kom je uit bij iemand in NL met chello, in de buurt van apeldoorn.. :P:P leuk hoor allemaal :P niet dat je er zoveel aan hebt, maar als jij daar in de buurt woont, en hij gebruikt geen proxy's, dan heb je een grote kans dat hij jou kent :) (en meestal dus ook andersom =)

    nou de groeten maar weer,

    Dionysus. (a.k.a. MAXimum :P)
  • kun je niet beter dan je port: 80 veranderen in bijv. port 180 ofzo ?
    weet niet of dit uitmaakt…

Beantwoord deze vraag

Dit is een gearchiveerde pagina. Antwoorden is niet meer mogelijk.